Jos Klever Web Support

Onderhoud en ondersteuning WordPress websites

Nieuwendaal 24
3985AD Werkhoven
+31 6 10 83 40 84
KvK: 62385968
BTW-id: NL001998334B31

Vimexx server web0167 geïnfecteerd met malware

door

Vanavond merkte ik dat op 2 WordPress sites van klanten bij Vimexx de plugin UpdraftPlus gedeactiveerd was door WP-CLI. Dat is niet door de klant, de bouwer of door mij gebeurd, dus ik dacht eerst door iemand van Vimexx, maar bij nadere inspectie blijkt er malware te staan in de mu-plugins map met root als eigenaar en 0444 rechten, dus alleen door de serverbeheerder te verwijderen. Wel heb ik een kopie van de malware kunnen maken en uitlezen en die heb ik door Claude AI laten analyseren.

Analyse malware via Claude AI

Het gaat om het bestand cms-options-plus.php in de map mu-plugins en het is duidelijk onleesbaar gemaakt door verschillende coderingen, dus heb ik de analyse uitbesteed en aangegeven dat ik vermoed dat het malware is en niet door de server beheerder is geplaatst. Dat bleek wel te kloppen.

Output Claude AI

Wat het is

Een zwaar geobfusceerde WordPress MU-plugin (Must-Use), vermomd als “Central Compiler Rig”. Alle strings zijn XOR-gecodeerd met sleutel 22 en in omgekeerde volgorde opgeslagen, zodat de code onleesbaar is voor mensen en eenvoudige scanners.

Na decodering blijkt het een volledig uitgerust backdoor/dropper te zijn met de volgende onderdelen:

Functionaliteit (per module)

1. Command-and-control via Ethereum blockchain De malware bevat 21 publieke Ethereum RPC-endpoints (van eth.llamarpc.com t/m eth.api.pocket.network). Het gebruikt deze om instructies op te halen via een blockchain-transactie, inclusief een hardcoded API-key. Dit is een geavanceerde C2-techniek die moeilijk te blokkeren is, want er is geen vast aanvallers-domein.

2. Persistentie en zelfbescherming

  • Controleert zijn eigen bestandsinhoud (checksum via eerste 12 bytes).
  • Als het bestand wordt aangepast of verwijderd, schrijft het zichzelf terug.
  • Zet bestandsrechten op 0444 (read-only) om verwijdering te bemoeilijken.
  • Kopieert zichzelf naar alle gevonden wp-content/mu-plugins-mappen op de server, ook buiten de eigen site.
  • Zoekt actief naar andere WordPress-installaties op het systeem (/home, /var/www, /var/www/vhosts, /srv/www etc.) om zich te verspreiden.

3. Backdoor admin-account aanmaken

  • Zoekt naar bestaande administrator-accounts.
  • Als die er zijn, reset het hun wachtwoord (naar een nieuw willekeurig wachtwoord, opgeslagen in WordPress-opties).
  • Als er geen administrator is, maakt het er zelf een aan (wp_insert_user), met willekeurige gebruikersnaam en wachtwoord.
  • Onderdrukt alle notificatie-e-mails (nieuwe gebruiker, wachtwoordwijziging) zodat de eigenaar niets merkt.
  • Verbergt de backdoor-gebruiker in het WordPress-adminpanel via pre_user_query en rest_user_query hooks.

4. Plugin-manipulatie

  • Ontvangt van de C2 een lijst met regex-patronen.
  • Scant alle actieve plugins op overeenkomsten in hun broncode.
  • Verwijdert plugins die matchen (delete_plugins, inclusief bestandsverwijdering).
  • Kan ook code injecteren in plugin-bestanden (preg_replace op de broncode).
  • Verbergt zichzelf in het plugin-overzicht (show_advanced_plugins filter).

5. elFinder-integratie Detecteert populaire file manager-plugins (WP File Manager, File Manager Advanced) en injecteert een eigen class elFinderConnector waarmee de aanvaller toegang heeft tot de bestandsbeheerder.

6. Cron en activeringstriggers Hooks op vrijwel elke WordPress-actie (plugins_loaded, admin_init, cron_schedules) om periodiek contact te maken met de C2, updates te ontvangen en persistentie te handhaven.

Is dit van de host geplaatst?

Nee, dit is geen legitieme hostingcode. Kenmerken die dat uitsluiten:

  • Actieve verduistering/obfuscatie van alle strings.
  • Zelfkopieer-mechanisme naar andere sites.
  • Heimelijk backdoor-account aanmaken en verbergen.
  • Command-and-control via Ethereum blockchain.
  • Onderdrukt e-mailnotificaties zodat de beheerder niets merkt.
  • Eigendom van root en rechten 0444 wijzen erop dat het via een servercompromis of gecompromitteerde uploadmethode is geplaatst, niet door de webhoster zelf.

Aanbevolen aanpak

  1. Site offline halen totdat de infectie volledig is opgeruimd.
  2. Alle WordPress-installaties op de server controleren — het malware verspreidt zich actief.
  3. Het bestand verwijderen (eerst chmod 644 want het staat op read-only).
  4. De WordPress-database controleren op onbekende administrator-accounts en verdachte opties/transients met prefix uwzib_.
  5. Alle wachtwoorden resetten (WordPress admin, hosting, database).
  6. Uitzoeken hoe het bestand als root-eigenaar in de mu-plugins-map is beland — dat duidt mogelijk op een serverbrede compromittering.
  7. Logbestanden (SSH, webserver, control panel) analyseren op het tijdstip van plaatsing.

Wat nu?

Aangezien support van Vimexx op zaterdagavond niet bereikbaar is en het vrij kleine sites zijn, waar ik (schonen) offline backups van heb, ga ik die zo op mijn server plaatsen en de DNS wijzigen, zodat de sites weer bereikbaar worden. Dan zien we later wel hoe het met Vimexx wordt opgelost.

Als er nog bijzonderheden volgen, dan zal ik die hier vermelden.

Controleren of je zelf geraakt bent

Host je bij Vimexx, controleer dan even op welke server je zit. Als je dat niet zeker weet, dan kun je bijvoorbeeld je domeinnaam invullen op https://www.abuseipdb.com/ en dan zie je op welke IP adres en server je zit. Staat daar web0167.zxcs.nl dan is je site hoogstwaarschijnlijk ook gehackt en kun je het beste contact opnemen met support van Vimexx.

Let op: Vimexx vraagt mogelijk ca. € 200,- per website om deze voor je op te schonen. Ga daar niet mee akkoord, want zo proberen ze geld te verdienen aan hun slachtoffers.

Tijdlijn

11-4-2026 14:47 uur
Plugin UpdraftPlus wordt uitgeschakeld door WP-CLI op 2 sites

11-4-2026 19:15 uur
Deactivatie UpdraftPlus kwam aan het licht bij inspecteren monitoring. Contactpersoon voor beide sites op de hoogte gebracht en onderzoek gestart naar oorzaak.

11-4-2026 19:40 uur
Met Claude AI de code van de aangetroffen malware geanalyseerd en verwerkt tot dit artikel.

11-4-2026 20:30 uur
Gestart met het herstellen van beide sites via schone backups om die op mijn server te plaatsen.

11-4-2026 22.45 uur
DNS is omgezet en beide sites zijn weer bereikbaar en veilig.

12-4-2026 11:00 uur
Er is nog steeds niets vermeld op de Status pagina van Vimexx en de malware is nog steeds aanwezig, dus er lijkt daar nog geen actie te zijn ondernomen.

13-4-2026 10:00 uur
Nog steeds geen teken dat Vimexx al bezig is met herstel.

13-4-2026 13:19 uur
Vimexx heeft gereageerd op een support ticket van een klant en zegt niets te zien, dus dat de klant zich geen zorgen hoeft te maken. Dit artikel is duidelijk niet gelezen en de malware staat nog altijd op de site, dus er is gewoon niet goed gekeken.

14-4-2026 10:20 uur
Vimexx Support gaat in overleg met systeembeheer.

15-4-2026 16:45 uur
Er is nog steeds geen inhoudelijke reactie van support. Wel zie ik dat op de sites het malware bestand uit mu-plugins verwijderd is. Dat wil echter nog niet zeggen dat de sites schoon zijn, want de hacker heeft o.a. gebruikersaccounts aangemaakt op alle sites en wie weet wat voor infecties er verder nog zijn.

16-4-2026 10:30 uur
Nog altijd geen informatie van Vimexx gehad. Wel werd ik gebeld door een ander slachtoffer met tientallen sites op een reseller pakket op deze server. Vimexx blijft volhouden, dat je niet alles moet geloven wat je op internet leest en dat er niks mis is met de server (ondanks hard bewijs in dit artikel). Dus ik heb nu zelf gereageerd op een support ticket met extra uitleg. Ook blijkt Vimexx geld te vragen voor het opschonen van de sites, terwijl dat geen zin heeft zolang de server gehackt is en het hun eigen verantwoordelijkheid is. Daarvoor heb ik nu een waarschuwing geplaatst in dit artikel.

17-4-2026 16:22 uur
Vimexx heeft inhoudelijk gereageerd en blijft volhouden dat dit niet door de server komt, maar dat er meerdere sites mogelijk al sinds 2025 geïnfecteerd zouden zijn, met een technische verklaring, die grotendeels uit mijn analyse is overgenomen, maar zo verdraaid, dat het toch de schuld van alle klanten is en niet van Vimexx.
Uiteraard heb ik daar op gereageerd, dat dit geëscaleerd moet worden, om de schade voor de klanten niet nog groter te maken, omdat de schade voor Vimexx zelf ook alleen maar groter zal worden.

Laatste berichten op Facebook

Jos Klever Web Support
Jos Klever Web Supportmaandag, april 28th, 2025 at 4:40pm
UPDATE: De storing zou verholpen moeten zijn en de server is weer bereikbaar.

Op dit moment is er een stroomstoring in het datacenter waar mijn server draait. Hierdoor zijn websites en mailboxen tijdelijk niet bereikbaar. Hopelijk is het snel hersteld.
Voortgang is te volgen op
noc.serverius.net
2
Bekijk op Facebook
Jos Klever Web Support
Jos Klever Web Supportvrijdag, december 27th, 2024 at 2:18pm
🌳 Het jaar is weer bijna voorbij, dus net als vorig jaar heb ik de balans even opgemaakt om te kijken hoeveel #WordPress websites ik in onderhoud heb. Per onderhouden website zal ik 1 euro en wanneer ik ze ook host zelfs 2 euro doneren voor het aanplanten van bomen.
Hiermee draag ik een steentje bij herstel van de natuur, aangezien websites immers ook energie kosten en daarmee de natuur belasten.
Aantal sites in onderhoud: 325
Aantal sites die ik daarvan ook host: 160
Totaal: 485
Voor € 5,- kan een boom geplant worden, dus daarmee kom ik op 97 bomen voor €485,-.
De helft zal in Nederland geplant worden en de andere helft bij een project in Indonesië. Meer informatie kan gevonden worden op de website.
Hierbij wens ik ook meteen iedereen een fijne jaarwisseling en het beste voor het nieuwe jaar! 🍾🥂🎉
#klimaat #natuur
joskleverwebsupport.nl
235
Bekijk op Facebook
Jos Klever Web Support
Jos Klever Web Supportdinsdag, november 19th, 2024 at 11:09am
⚠️Mollie lijkt ongevraagd Klarna te hebben geactiveerd

Ik zie via collega's meldingen binnen komen, dat Mollie op webshops Klarna zou hebben geactiveerd, zonder dat eigenaars dit hebben aangevraagd. Webshops die dit betreft zouden via mail bevestiging hier van hebben gehad. Voor veel shops is dit ongewenst, aangezien Klarna ook 3% commissie rekent over de betaling.

Heb je hier ook bericht van gehad? Laat het me even weten, zodat we dit op de site kunnen uitschakelen en kunnen onderzoeken hoe dit heeft kunnen gebeuren.

Een support topic is te vinden en volgen op
Jos Klever Web Support
Unwanted automatically activation of Klarna
Unwanted automatically activation of Klarna Dave Loodts (@davelo) 34 minutes ago Hi, today we were very surprised to see that Mollie automatically activated the Klarna payment method on the majorit…
14
Bekijk op Facebook

Laatste berichten op Mastodon

  1. Loading Mastodon feed...

Volg me op Mastodon voor meer berichten.

Ik stelde wat schoorvoetend een best onduidelijke vraag bij Durf te vragen WordPress. Ik had vakkundig mijn hele website in de digitale soep gedraaid en er ook nog heel lang over gedaan om het alleen maar erger te maken. Al snel na het posten van mijn vraag hoorde ik gegaloppeer. Uit de verte doemde een paard op met Jos Klever erop: de Redder in Nood! In no time wist hij mijn niet mee toegankelijke website weer toegankelijk te maken én keurig om te leiden naar een nieuw domein. Mocht je een koene ridder door de nacht zien gaan op zijn paard, dan is dat Jos, op zoek naar een volgende hulpvraag. Van mij mag hij een Supermanpak aantrekken, maar dan met JK als logo. Superbedankt, Jos! Goud waard, mensen die volslagen onbekende, onhandige mensen uit hun zelfveroorzaakte puree helpen. Ik kan weer verder!

Ineke Buijs Avatar Ineke Buijs
7 juni 2017